CVE-2025-2719

  1. Yack CVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-2719

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

T

he Swatchly – WooCommerce Variation Swatches for Products (product attributes: Image swatch, Color swatches, Label swatches) plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the ajax_dismiss function in versions 1.2.8 to 1.4.0. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update option values to 1/true on the WordPress site. This can be leveraged to update an option that would create an error on the site and deny access to legitimate users or be used to set some values to true, such as registration.

References
Link Resource
https://plugins.trac.wordpress.org/browser/swatchly/tags/1.2.8/includes/Admin/Notices.php#L59
https://www.wordfence.com/threat-intel/vulnerabilities/id/39336115-5993-49e1-b810-80a712e8e42b?source=cve
Configurations

No configuration.

History

11 Apr 2025, 15:39

Type Values Removed Values Added
Summary
  • (es) El complemento Swatchly – WooCommerce Variation Swatches for Products (atributos del producto: muestra de imagen, muestras de color, muestras de etiqueta) para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la función ajax_dismiss en las versiones 1.2.8 a 1.4.0. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen los valores de las opciones a 1/verdadero en el sitio de WordPress. Esto se puede aprovechar para actualizar una opción que crearía un error en el sitio y negaría el acceso a usuarios legítimos o se puede utilizar para establecer algunos valores como verdaderos, como el registro.

10 Apr 2025, 07:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-04-10 07:15

Updated : 2025-04-11 15:39

NVD link : CVE-2025-2719

Mitre link : CVE-2025-2719

CVE.ORG link : CVE-2025-2719

JSON object : View

Products Affected

No product.

CWE
CWE-862

Missing Authorization